Definizione Mimikatz
Mimikatz è uno strumento di post-sfruttamento leader che scarica le password dalla memoria, così come hash, PIN e biglietti Kerberos. Altri attacchi utili che abilita sono pass-the-hash, pass-the-ticket o building Golden Kerberos tickets. Ciò rende il movimento laterale post-sfruttamento all’interno di una rete facile per gli aggressori.
Mimikatz, descritto dall’autore come solo “un piccolo strumento per giocare con la sicurezza di Windows”, è uno strumento di sicurezza offensivo incredibilmente efficace sviluppato da Benjamin Delpy. E ‘ utilizzato da penetration tester e autori di malware allo stesso modo. Il distruttivo 2017 NotPetya malware rotolato trapelato exploit NSA come EternalBlue insieme a Mimikatz per ottenere il massimo danno.
Originariamente concepito come un progetto di ricerca da Delpy per comprendere meglio la sicurezza di Windows, Mimikatz include anche un modulo che scarica Minesweeper dalla memoria e ti dice dove si trovano tutte le miniere.
Mimikatz non è difficile da usare, e Mimikatz v1 viene fornito in bundle come script meterpreter come parte di Metasploit. Il nuovo aggiornamento Mimikatz v2 non è ancora stato integrato in Metasploit al momento della stesura di questo documento.
Il nome “mimikatz” deriva dal gergo francese “mimi” che significa carino, quindi “gatti carini.”(Delpy è francese e blog su Mimikatz nella sua lingua madre.)
Come agisce Mimikatz?
Mimikatz sfrutta la funzionalità SSO (Single Sign-On) di Windows per raccogliere le credenziali. Fino a Windows 10, Windows per impostazione predefinita utilizzato una funzione chiamata WDigest che carica le password crittografate in memoria, ma carica anche la chiave segreta per decifrare loro. WDigest è stata una funzione utile per autenticare un gran numero di utenti su una rete aziendale o governativa, ma consente anche a Mimikatz di sfruttare questa funzione scaricando la memoria ed estraendo le password.
Nel 2013, Microsoft ha reso possibile disabilitare questa funzione a partire da Windows 8.1, ed è disabilitata per impostazione predefinita in Windows 10. Tuttavia, Windows viene ancora fornito con WDigest e un utente malintenzionato che ottiene privilegi amministrativi può semplicemente accenderlo ed eseguire Mimikatz.
Peggio ancora, così tante macchine legacy in tutto il mondo eseguire versioni precedenti di Windows che Mimikatz è ancora un incredibilmente potente troppo e probabilmente rimarrà tale per molti anni a venire.
Storia di Mimikatz
Delpy ha scoperto la falla WDigest nell’autenticazione di Windows nel 2011, ma Microsoft lo ha spazzato via quando ha segnalato la vulnerabilità. In risposta, ha creato Mimikatz — scritto in C — e beffa il binario su internet, dove ha rapidamente guadagnato popolarità tra i ricercatori di sicurezza, per non parlare di attenzioni indesiderate da parte dei governi di tutto il mondo, con conseguente eventuale rilascio del codice sorgente su GitHub.
Mimikatz è stato quasi immediatamente utilizzato dagli aggressori dello stato-nazione, il primo caso noto è stato l’hack del 2011 di DigiNotar, l’autorità di certificazione olandese ormai defunta, che è fallita a causa dell’intrusione. Gli aggressori hanno emesso falsi certificati per Google e li hanno usati per spiare gli account Gmail di diverse centinaia di migliaia di utenti iraniani.
Da allora lo strumento di sicurezza è stato utilizzato dagli autori di malware per automatizzare la diffusione dei loro worm, incluso il suddetto attacco NotPetya e l’epidemia di ransomware BadRabbit del 2017. Mimikatz rimarrà probabilmente uno strumento di sicurezza offensivo efficace su piattaforme Windows per molti anni a venire.
Come difendersi da Mimikatz
Difendersi dall’uso di Mimikatz post-sfruttamento da parte di un utente malintenzionato è impegnativo. Dal momento che un utente malintenzionato deve avere accesso root su una finestra di Windows per utilizzare Mimikatz, è già game over in qualche modo. La difesa diventa quindi una questione di contenere il danno e limitare la carneficina risultante.
Ridurre il rischio di un utente malintenzionato con privilegi di amministratore di accedere alle credenziali in memoria utilizzando Mimikatz è possibile e vale la pena, tuttavia. Il grande take-away è limitare i privilegi di amministratore solo agli utenti che ne hanno effettivamente bisogno.
Aggiornamento a Windows 10 o 8.1, almeno, è un inizio e mitigare il rischio di un utente malintenzionato utilizzando Mimikatz contro di voi, ma in molti casi questa non è un’opzione. Rafforzare l’Autorità di sicurezza locale (LSA) per prevenire l’iniezione di codice è un’altra strategia comprovata per mitigare il rischio.
Disattivando i privilegi di debug (SeDebugPrivilege) può anche essere di efficacia limitata, come Mimikatz utilizza built-in strumenti di debug di Windows per scaricare la memoria. Disabilitare WDigest manualmente su versioni meno recenti e senza patch di Windows rallenterà un utente malintenzionato per, oh, un minuto o due, vale comunque la pena farlo.
Una pratica purtroppo comune è il riutilizzo di una singola password amministrativa in un’azienda. Assicurarsi che ogni casella di Windows ha la propria password di amministratore univoco. Infine, su Windows 8.1 e versioni successive l’esecuzione di LSASS in modalità protetta renderà inefficace Mimikatz.
Rilevare la presenza e l’uso di Mimikatz su una rete aziendale non è una panacea, poiché le attuali soluzioni di rilevamento automatizzato non vantano un alto tasso di successo. La migliore difesa è probabilmente un buon attacco: prova i tuoi sistemi con Mimikatz regolarmente e avere un’attività di monitoraggio umano reale sulla tua rete.